В течение месяца на компьютерах пользователей продуктов «Лаборатории Касперского»:
- отражено 221 305 841 сетевых атак;
- заблокировано 73 211 764 попыток заражения через Web;
- обнаружено и обезврежено 189 999 451 вредоносных программ (попытки локального заражения);
- отмечено 86 630 158 срабатываний эвристических вердиктов.
DDoS-атаки на LiveJournal
Начавшиеся в самом конце марта и продолжившиеся в начале апреля DDoS-атаки на блог-хостинг LiveJournal.com стали заметным событием в России. Один из ботнетов, ответственных за атаку, находится под нашим наблюдением, что позволило выявить некоторые подробности атаки.
До начала апреля практически каждый день все компьютеры, входящие в состав этого ботнета, получали в качестве мишени для DDoS-атаки одну-две ссылки. Однако 4 апреля все боты получили список из 36 ссылок. В число атакованных попали главные страницы LiveJournal: http://livejournal.com и http://livejournal.ru. Остальные ссылки в списке вели на популярные странички российских блогеров-«тысячников». Атакованные страницы периодически были недоступны 30 марта, 4 и 6 апреля. Атаки прекратились после 6 апреля.
Использованный злоумышленниками ботнет построен на основе популярного бота Optima, который появился в продаже в конце 2010 года. По некоторым косвенным признакам можно сказать, что зомби-сеть, объединяющая зараженные Optima машины и принимавшая участие в DDoS-атаке, cостоит из десятков тысяч зараженных компьютеров.
PDF-эксплойты
В очередной раз мы фиксируем рост активности эксплойтов, использующих уязвимости в продуктах Adobe. Один из таких экспойтов — Exploit.JS.Pdfka.dmg — оказался на 9-м месте среди 20 наиболее распространенных программ в интернете. Количество пользователей, подвергшихся в апреле атакам различными модификациями Exploit.JS.Pdfka, исчисляется уже сотнями тысяч. Рисунок ниже иллюстрирует это.
География распространенности семейства Exploit.JS.Pdfka в апреле. Первое место — Россия,
второе — США, третье — Германия
Злоумышленники уже в который раз используют одну и ту же тактику: на взломанном легальном ресурсе размещается вредоносный JavaScript, который эксплуатирует критическую уязвимость в одном из популярных легальных продуктов. Если пользователь, использующий уязвимое ПО, попадает на легальный взломанный ресурс, то практически сразу же в результате срабатывания эксплойта на его компьютер незаметно загружается одна или несколько вредоносных программ. То есть в очередной раз мы имеем дело с уже ставшими классическими drive-by-download атаками.
В апреле компания Adobe закрыла очередной набор уязвимостей в своих продуктах Adobe Reader и Adobe Acrobat. Уровень опасности уязвимостей был обозначен как «Critical». Мы настоятельно рекомендуем всем пользователям обновить эти приложения. Патчи для конкретных версий продукта можно найти здесь.
Уязвимость MS11-020
В апреле компания Microsoft выпустила 17 бюллетеней, закрывающих уязвимости в различных продуктах Windows. Среди 63 уязвимостей, исправленных Microsoft, есть и патч для критической «дыры» MS11-020. Опасная брешь, открывающая возможность удаленного исполнения произвольного кода в нулевом кольце, была обнаружена в SMB Server. Данная уязвимость может эксплуатироваться с использованием специально сформированного SMB-пакета, отправляемого на уязвимую систему. Уязвимость представляет серьезную опасность: в прошлом обнаружение подобной уязвимости повлекло за собой появление такого червя, как Kido. Поэтому мы настоятельно рекомендуем всем пользователям как можно быстрее обновить свои системы.
SMS-троянцы
В апреле продолжилось активное распространение SMS-троянцев (в основном, на территории России). Одним из каналов распространения по-прежнему был SMS-спам. В течение месяца мы регулярно получали жалобы пользователей на спамовые SMS-рассылки.
Некоторые рассылки обладали общими признаками:
- рассылки осуществлялись примерно в одно и то же время (в 4 или 5 утра по московскому времени);
- сообщения в подавляющем большинстве случаев имели следующий вид:
‘Poluchen MMS dlya abonenta <телефонный номер получателя>. Posmotret: http://******.do.am/имя_файла.jar’; - во вредоносных ссылках использовались имена файлов YaZ.jar либо 606.jar.
Пример одного из спамовых SMS-сообщений
На момент осуществления всех зафиксированных нами рассылок файлы, на которые вели ссылки, детектировались «Лабораторией Касперского» как Trojan-SMS.J2ME.Smmer.f.
И еще одна деталь: судя по всему, вредоносные сайты, на которые вели ссылки в спам-сообщениях, на самом деле создавались с помощью одного из популярных бесплатных онлайн-конструкторов сайтов. Владельцы данного конструктора предоставляют в том числе и услуги хостинга, которыми и воспользовались злоумышленники, разместив вредоносные страницы на домене второго уровня .do.am.
Закрытие ботнета Coreflood
Наступление на бот-сети продолжается. Вслед за закрытием ботнета Rustock, о котором мы писали в мартовском обзоре, в апреле были закрыты командные центры еще одного немаленького (порядка 2 миллионов зомби-машин) ботнета Coreflood. Большинство зараженных ботами машин располагалось на территории США.
В данном случае инициатором закрытия стало министерство юстиции США, которое получило разрешение на перехват управления ботнетом. После перехвата управления бот-сетью всем ботам была разослана команда на прекращение работы.
Уже не в первый раз государственные органы принимают активное участие в нейтрализации бот-сетей. Напомним, что ботнет Rustock был закрыт в результате совместной операции компании Microsoft и властей США, ботнет Bredolab был ликвидирован (а его предполагаемый владелец и создатель задержан) полицией Нидерландов.
Надеемся, что усилия государственных органов по закрытию ботнетов продолжатся, и в будущем мы еще не раз узнаем об успешном проведении подобных операций.
Взлом PlayStation Network
В конце апреля компания Sony сообщила о том, что PlayStation Network (PSN) была взломана. Корпорация подтвердила, что злоумышленникам стали доступны личные данные пользователей (имена, электронные и почтовые адреса, даты рождения, логины и пароли). Sony не исключила и возможности хищения данных кредитных карт, хотя доказательств кражи этой информации не было.
Sony совместно с неназванной компанией ведет расследование данного инцидента. Стоит отметить, что в PSN зарегистрировано порядка 75 миллионов аккаунтов, и данная утечка персональных данных по сути является крупнейшей за всю историю.
По-прежнему нет информации о том, когда игроки смогут вновь воспользоваться PSN. Пользователям PSN настоятельно рекомендуется сменить пароль к учетной записи игрового сервиса, а также к другим сервисам (если использовался один и тот же пароль). Также необходимо следить за своей кредитной картой, и в случае появления признаков мошенничества, сразу же ее блокировать.
P.S. Второго мая Sony опубликовала сообщение о том, что в результате хакерской атаки злоумышленникам стали доступны персональные данные (имя, адрес, email, пол, дата рождения, телефонный номер, логин и хэш пароля) не только игроков PSN, но и пользователей Sony Online Entertainment. Также компания сообщила об утечке информации о 12700 кредитных картах (номер карты и срок действия) из устаревшей базы данных 2007 года.
TOP 20 вредоносных программ в интернете
Позиция | Изменение позиции | Вредоносная программа | Количество атак* |
1 | 2 | AdWare.Win32.HotBar.dh | 855838 |
2 | 4 | Trojan.JS.Popupper.aw | 622035 |
3 | New | AdWare.Win32.Zwangi.fip | 356671 |
4 | New | AdWare.Win32.Agent.uxx | 300287 |
5 | New | AdWare.Win32.Gaba.eng | 254277 |
6 | New | AdWare.Win32.FunWeb.jp | 200347 |
7 | New | AdWare.Win32.FunWeb.kd | 170909 |
8 | New | AdWare.Win32.Zwangi.fmz | 161067 |
9 | New | Exploit.JS.Pdfka.dmg | 140543 |
10 | New | Trojan.JS.Redirector.oy | 138316 |
11 | New | Trojan-Ransom.Win32.Digitala.bpk | 133301 |
12 | 0 | Trojan.JS.Agent.uo | 109770 |
13 | 0 | Trojan-Downloader.JS.Iframe.cdh | 104438 |
14 | New | AdWare.Win32.Gaba.enc | 96553 |
15 | -11 | Trojan.HTML.Iframe.dl | 95299 |
16 | -14 | Hoax.Win32.ArchSMS.pxm | 94255 |
17 | New | Trojan-Downloader.Win32.Zlob.aces | 88092 |
18 | New | Trojan-Ransom.JS.SMSer.hi | 83885 |
19 | New | Trojan.JS.Iframe.ku | 77796 |
20 | New | AdWare.Win32.FunWeb.jt | 65895 |
* Общее число уникальных инцидентов, зафиксированных веб-антивирусом на компьютерах пользователей.
TOP 20 вредоносных программ, обнаруженных на компьютерах пользователей
Позиция | Изменение позиции | Вредоносная программа | Кол-во уникальных пользователей* |
1 | 0 | Net-Worm.Win32.Kido.ir | 428587 |
2 | 1 | Net-Worm.Win32.Kido.ih | 176792 |
3 | -1 | Virus.Win32.Sality.aa | 176171 |
4 | Returned | Virus.Win32.Virut.ce | 130140 |
5 | 0 | Virus.Win32.Sality.bh | 121389 |
6 | 3 | Trojan.Win32.Starter.yy | 113815 |
7 | -3 | Hoax.Win32.ArchSMS.pxm | 86908 |
8 | -2 | HackTool.Win32.Kiser.zv | 80900 |
9 | 5 | Trojan-Downloader.Win32.Geral.cnh | 79573 |
10 | 2 | HackTool.Win32.Kiser.il | 78526 |
11 | -4 | Hoax.Win32.Screensaver.b | 73664 |
12 | -1 | Worm.Win32.FlyStudio.cu | 71405 |
13 | -5 | AdWare.Win32.HotBar.dh | 68923 |
14 | -1 | Trojan.JS.Agent.bhr | 67435 |
15 | New | AdWare.Win32.FunWeb.kd | 62858 |
16 | New | Virus.Win32.Sality.ag | 55573 |
17 | 1 | Trojan-Downloader.Win32.VB.eql | 53055 |
18 | 1 | Worm.Win32.Mabezat.b | 52385 |
19 | -2 | Trojan.Win32.AutoRun.azq | 47865 |
20 | New | Virus.Win32.Nimnul.a | 47765 |
* Число уникальных пользователей, на компьютерах которых антивирус детектировал данный объект.
Обзор вирусной активности — апрель 2011